Wetter
Ruby ist nur in der veralteten Version 1.8.7 verwundbar, die aktuellen 1.9er Versionen sind gegen das Problem Immun. Und für 1.8.7 wurde noch am gleichen Tag ein Update 1.8.7-p357 herausgegeben, das dieses Hash-Problem löst.
Eine Sicherheitslücke in vielen Web-Programmiersprachen lässt sich ausnutzen, um Server mit vergleichsweise wenigen Datenpaketen zu überlasten. Diese Entdeckung stellten zwei Informatiker auf dem Chaos Communication Congress 28C3 in Berlin vor.
Neue Angriffsmethode: Hacker finden weit verbreitete Schwachstelle bei Web-Servern - SPIEGEL ONLINE - Nachrichten - Netzwelt
Ruby ist nur in der veralteten Version 1.8.7 verwundbar, die aktuellen 1.9er Versionen sind gegen das Problem Immun. Und für 1.8.7 wurde noch am gleichen Tag ein Update 1.8.7-p357 herausgegeben, das dieses Hash-Problem löst.
Beim Tomcat gibt es das Attribut maxParameterCount.
Vergleichbares liefert das Hardend PHP Project per suhoshin patches/extensions.
usw. usf.
Bei den meisten Sprachen/Frameworks konnte/kann man etwas gegen diese Form von Angriffen tun. Man muss es nur tun + es bedeutet mal mehr mal weniger Aufwand. Im Zweifel wird es noch in 10 Jahren Server mit Standardeinstellungen geben, die diese Form von Attacke ermöglichen.
Wundert mich das? Nein!Zitat von sysop
Sogenannte "aktive Inhalte" sind und waren immer schon ein Risiko. Insofern wundert es mich, daß die meisten WebSites zwar statischer Natur sind, sich aber aktiver Techniken bedienen. "Bestes" Beispiel: JScript-Links, die nichts anderes machen, als einen im Klartext enthaltenen Dokumentenverweis per JScript auszuführen. Irgendwelche Texte plus Bildchen plus anklickbare Links funktioniert im Gegensatz dazu jedoch wunderbar und vor allem schnell und kompatibel mit Einfachst-HTML.
Solange Web-Designer derart bescheuerte und sinnfreie Dinge tun, braucht man sich über nichts zu wundern - auch nicht darüber, daß bestimmte WebSites nur mit IE funktionieren, weil der Hobby-Web-Designer zu blöd war zu erkennen, daß weitere Browser im Internet durchaus üblich sind. Wer hier schon nicht willens oder in der LAge ist, seine Hausaufgaben zu machen, machts sie in Bezug auf Sicherheit erst recht nicht.
Nicht ohne Grund heißt die goldene Regel des Ingenieurwesens: Keep it as simple as possible!
Tja, nur geht es hier gar nicht um aktive Inhalte. Man sendet einfach an eine beliebige PHP/ASP.NET/JSP/JSF Seite, ein Servlet oder ein Python-Script einen moderat großen POST-Request, und schon ist die CPU des Server dicht. Gefeit sind offenbar nur PERL-Scripte oder neuere Rubys. Und Sie werden ja wohl kaum zu statischen Seiten zurückkehren wollen, oder?Zitat von ArnoNym
Übrigens ist die Methode altbekannt, der Ur-Artikel erschien 2003 und führte dazu, dass PERL die Lücke dichtmachte.
Antworten / Zitieren
